WordPress 4.0.1 actualización crítica de seguridad

En Noticias, Webmasters por

Hace pocas horas que está disponible la actualización WordPress 4.0.1 que incluye importantes actualizaciones de seguridad. Al ser una actualización a una versión menor, esta debería realizarse de forma automática (sino has deshabilitado las actualizaciones automáticas).

WordPress 4.0.1 actualización crítica de seguridad

Las versiones anteriores de WordPress 3.9, 3.8 y 3.7 también recibirán su respectivo parche de seguridad pero lo mejor y más recomendable es actualizar a WordPress 4.0.

WordPress 4.0.1 actualización crítica de seguridad, ¡actualiza de inmediato!.

La actualización se ha considerado crítica porque se ha descubierto una vulnerabilidad cross-site scripting (XSS) en WordPress 3.9.2 y versiones anteriores que permite a cualquier usuario malintencionado comprometer las seguridad del blog. A pesar de que la versión 4.0 de WordPress no era vulnerable, se ha decido lanzar una actualización de seguridad que soluciona:

  • Se solucionan tres vulnerabilidades XSS que permiten a un usuario con estatus de colaborador o autor comprometer la seguridad de WordPress.
  • Una petición de cambio de contraseña falsa en sitios cruzados que permitiría a un usuario malintencionado robar la contraseña.
  • Un problema a la hora de comprobar las contraseñas que podría derivas en una denegación del servicio (DoS).
  • Se agregaron protecciones extra cuando WordPress realiza peticiones HTTP del lado del servidor.
  • Una colisión en los hash de encriptación que era extremadamente poco probable que sucediera (para poder ser explotada esta vulnerabilidad, el usuario no debería haber accedido a WordPress desde el año 2008).
  • Ahora WordPress invalida los enlaces que envía al correo para recordar nuestra contraseña si el usuario recuerda su contraseña antes de restablecerla.

Esta actualización también mejora la forma en que WordPress valida los datos EXIF de las imágenes. Por si todo lo anterior fuese poco también soluciona 23 bugs que puedes ver este enlace.

En resumen, una actualización obligada y que debemos hacer cuanto antes no sin antes hacer un backup.